有 Al 更 安 全 


DEFCON EJ 百度 安全 


反 间 谍 计划 
自 建 基 站 与 数据 嗅 探 方法 论 


B 
(の 
TI 
rm 
X 
2) 
の 


百度 安全 实验 室 高 级 安全 研究 员 
研究 领域 : 1oT 安 全 /Al 安全 /无 人 车 
安全 
多 次 破解 硬件 设备 
CBU Ga: 

BSRC、 应 急 处 置 、0day 分 析 

百度 产品 安全 评估 

百度 安全 监控 体系 建设 


AW 


联网 IOT 设 备 测试 目的 、 测 试 万 法 


。 如 何 实现 目 动 附 看 、MITM 流 量 
。 如 何 搭建 LTE 测 试 基站 
。 漏洞 实例 介绍 


”其 他 测试 万 法 


目的 及 守则 


・ 目的: 
— 了 解 GSM 的 安全 风险 


一 通过 挫 建 测试 基站 ， 辅 助 IJoT 设 备 安 全 漏 
洞 挖掘 


ー 增强 产品 安全 性 
测试 守则 : 
- 严格 意 守 相关 法 律 ， 不 影响 正常 信道 通信 
・ 扉 蔽 器 中 / 封 地下 室 操作 
。 如 实在 条 件 限 制 ， 需 调 低 功 率 / 衰 减 器 直 连 


ji E BS 


・ 控 市 流量 


— 获取 流量 (敏感 数据 、 接 口 分 析 、 固 件 分 析 、 远 控 & 升 
级 分 析 ) 


一 修改 流量 (MITMFRIBJA,. DNSRXR) 


- 访问 (运营 商 侧 interface 访 问 设备 存在 漏洞 的 端口 ) 
控 | 短信 
一 短信 下 发 指令 (场景 很 少 ) 


漏洞 挖掘 方法 ps 


・ 获取 云端 接口 Ed: 
- 攻击 云端 web 漏 油 (注入 、 升 级 FTP) 您 从 "S ye 
— client 重 放 、 越 权 gs 

・ 获取 通讯 数据 


一 ”辅助 理解 流程 
一 ”加 密 信道 : 辅助 分 析 获 取 加 密 密 钥 ， 获 得 加 解密 能 力 
— 获取 密码 、token、session 等 关键 key 
一 ”获取 固件 更 新 链接 
・ 修改 数据 Aw 
Eee mast 
一 ”注入 恶意 代码 ， 例 如 浏览 器 RCE 
・ 访问 监听 端口 中 
一 ”自身 提供 管理 服务 ， 例 如 telnet、adb、ssh awe 
一 分析 监听 bin， 协 议 模 拟 /命令 注入 /溢出 攻击 
。 协议、 基带 Fuzz 


・ KERI 
一 不 需要 任意 client 自 动 连 入 我 们 的 攻击 基站 
一 只 需要 目标 client 能 够 连 入 
一 实现 : 搭建 GSM 和 LTE 测 试 基 站 ， 特 殊 sim 卡 与 卡 实 现 认证 


。 攻击 中 
- 需要 任意 client 自 动 从 现 网 切换 到 我 们 的 攻击 基站 
- GSM 网 络 存在 认证 问题 ， 可 能 实现 
- SU]: 搭建 GSM 攻 击 基站 ， 通 过 强制 小 区 重 选 连接 到 攻击 


トリ 


我 们 元 来 实现 难 的 -攻击 中 基站 


。 自动 连 入 攻击 基站 ， 并 且 控 制 流量 
。 看 下 腾讯 KEEN LAB 攻击 宝马 车 机 系统 的 case 


Remote Code Execution. After we implemented a stable GSM network using universal software 
radio peripheral (USRP) and OpenBTS, all the traffic from ConnectedDrive service were captured, 
and due to some insecure implementations of ConnectedDrive service in NBT, we also succeeded 
in intercepting network traffic from ConnectedDrive Service. After that, we were free to find the 
bugs in “DevCtrlBrowser Bon". Then we exploited a memory corruption bug in 
"DevCtrlBrowser Bon” and achieved remote code execution in the head unit with browser 
privilege. In the end, by leveraging the vulnerability mentioned earlier, we achieved root privilege 
escalation and got a remote root shell from NBT through a different path than 2.1.1. 


G -- Generation 


・ 1G 模拟 信号 大 哥 大 

。 2G GSM/CDMA 

・ 3G 3GPP WCDMA/CDMA2000 
・ 4G LTE 

・ 5G 高 速率 低 延 所 切片 万 物 互 联 


l 
円 


© . € 


zhin4 Ch AE 
RA i dL Unicom 中 国联 遂 Thes 


2G GS 5 CDMA IX 
每 个 时 代 都 有 不 同 看 法 


3G 


IRR PCPOPCOM 


【 起 感人 ， 老 师 时 代 】 Xt [ 那些 我 们 追 过 的 老病] jpg 【老师 的 科学 课 】.avi 


时 代 进 步 -- > 近 林 升级 


・ 部 分 标准 在 设计 之 切 没 有 考虑 安全 问题 
- 模拟 已 经 不 存在 ， 不 考虑 
一 GSM 和 存在 问题 ， 但 部 分 地 区 已 退 网 不 支持 2G 
。 上 可 题 已 解决 ? 
。 No 
ー 所 有 手 机 都 支持 2G 
一 大 部 分 物 联 网 设备 通讯 模块 都 工作 在 2G 下 (不要 求 高速 数 据 ) 


GSM 安 全 回 題 


・ 2G GSM 网 络 ， 在 设计 之 初 束 存在 安全 问题 
ー 单 同 鉴 权 而 非 双向 ， 即 只 有 网 络 鉴 定 用 户 是 否 合法 
一 ”导致 伪造 基站 的 可 能 4 DAR 


1335450081 


伪 基 站 应 运 而 生 


伪 基 下 内 部 探究 


。 收发 板 (SDR 软 件 无 线 电 ) 

。 WAZ (功率 ) 

: XXL zi. 电源 

・ 外 部 笔记 本 + 软件 (Openbts 
2.8) 
通过 软件 模拟 + 收 友 
设备 实现 GSM 基 站 

系统 


T Eu MBA f TA 


用 工程 机 找 个 弱 频 点 ， 设 置 MCC、MNC 等 参数 和 周围 一 样 LAC 不 一 样 
手机 获知 广播 消息 > 还 很 大 呀 ! 这 得 重 选 小 区 到 这 个 伪 基 站 。 发 
现 LAC 变 了 ! 这 得 位 置 更 新 请 求 

手机 傻乎乎 的 给 鉴 权 信息 ， 伪 基站 看 也 不 看 ， 来 者 不 拒 

SIME a aa 伪 基 站 看 IMSI (位 置 更 新 时 获取 的 ) ， 咽 ， 刚 刚 没 发 
过 短信 

伪 基 站 利用 完 手 机 了 ， 然 后 踊 掉 它 

开始 其 他 环节 (NB. HS. AK. BS) 


・ Just 给 你 上 友 了 一 个 发送 号 码 和 内 容 可 以 目 定义 的 短信 


了 我们 南 要 什么 
不 可 以 小 发 短信 ， 不 需要 大 功率 ， 不 可 以 干扰 


边 

只 需要 实现 小 区 切换 、 自 动 附着 
一 实际 上 无 需 测 试 ， 请 遵守 法 律 法 规 
— 通过 修改 开源 BTS， 增 大 C2 

© 另外 实现 GPRS 流 量 控制 


软件 无 线 电 介绍 
种 可 以 接收 (发送 ) 广泛 频率 的 无 线 电信 号 的 


SJL 
设备 


”并 且 把 模拟 信号 转换 成 数字 信号 交 给 计算 机 处 理 


开源 GSM BTS H OPenBTSo 00 
p A ost ocom 


- OpenBTS ( 难 安装 ) 

— YateBTS (基于 OpenBTS 人 代码， 可 视 化 ， 容 易 安 装 ) 

- OpenBSC( 包 含 BTS， 代 码 重 写 ， 规 范 ， 庞 大 ， 难 安装 ) 
。 硬 件 : 

一 USRP 系列 (B 系 列 偏 频 比 较 严 重 ) 

— Bladerf x40 (频率 精准 ) 
。 So 我 们 选择 YateBTS+Bladerf x40 


如 何 买 现 

・ BTS 中 小 区 重 选 参数 C2 无 法 
设置 或 失效 
ー 干脆 代码 里 写 死 ， 最 高 值 

。 基 帖 配置 参 类 
- MMC、MNC 需 要 与 sim 卡 中 一 


性 
・*#0011# 


— 狭 取 较 弱 的 频 点 
。 使 用 工程 机 、GSM 模 块 at 指令 
。SDR 扫 拍 工 具 ， 例 如 Kalibrate-rtl 


GSML3RRElements.cpp > 


:L3RestOctets(), 
mHaveSI3RestOctets(false), 

un マラ で = で er amc vci st fatsey , 
mCBQ(9),mCELL, RESELECT OFFSET(?), 
mIEMPUKAHY UFFSEI(U), 
mPENALTY_TTME( 9 ) , 

mRA_COLOUR( 9 ) , 

mHaveGPRS( fatse ) 


Mobile info refresh rate: 
Disabled ~ 
Mobile location info (deprecated): LAC = c76 CID = 
50b 


Neighbour mobile info (deprecated): [c765233@14] 
[c76e8c7@12] 
[c76e8c8@13] 
[c7650b6@14] 
[c765231(915] 
All mobile measurement info: 
GSM 
404 90 90 043 6 6  -8 
3190 59591 616 2 
3190 59592 621 0 
3190 20662 676 12 
3190 21041 618 47 


TCENG- 1,1 

+CENG: 0, “0575, 37, 00, 460, 00, 11, 8dbb, 13, 00, 11b2, 255~ 
4CENG: 1, "0036, 62, 02, 000a, 460, 00, a0f5" 

*CENG: 2, "0571, 32, 44, Sdba, 460, 00, 1162” 

4CENG: 3, “0026, 29, 02, fbc4, 460, 00, 11b2~ 

*CENG: 4, "0024, 28, 38, e65c, 460, 00, 11b2” 

+CENG: 5, 70029, 24, 61, e65b, 460, 00, 11b2” 

4CENG: 6, 70038, 23, 07, Oela, 460, 00, 11b2” 

DK 

4CNTI- “ME 

AT*CENG? 

+CENG: 1,1 

*CENG: 0, "70036, 51, 01, 460, 00, 02, 000a, 00, 00, a0f5, 2557 


: 0 
*CENG: 1, "0000, 00, 00, 0000, , 。 0000 
: 2, "0000, 00, 00, 0000, , , 0000” 


"e on dn nos 


dun t 


Using device 0: Generic RTL2832U OEM 


Found Elonics 


Exact sample rate is: 270833.002142 Hz 


Setting gain: 

kal: Scanning 

DCS-1800: 
chan: 
chan: 
chan: 
chan: 
chan: 
chan: 
SE 
chan: 


E4000 tuner 


40.0 dB 


for DCS-1800 base stations. 


582 (1819.2MHz 
590 (1820.8MHz 
615 (1825.8MHz 
616 (1826.0MHz 
618 (1826.4MHz 
626 (1828.6MHz 
ous ome. €— 


power: 511859.56 
power: 4439467.15 
power: 384392.76 
power: 663033.72 
power: 892936.25 
power: 2569451.64 
power: 5158224.62 
: r 


chan: 
chan: 
chan: 
chan: 


766 (1856.6 eMHz ~ 
768 (1856.4MHz 
770 (1856.8MHz 
772 (1857.2MHz 


- 


m 


* 139Hz) 


* 


93Hz) 
7Hz ) 


er 
power : 人 67 
power: 4244519.41 
power: 3517832 .12 
power: 659372.12 


其 他 配置 


”基础 配置 


ー 选择 频段 与 频 操 


— 配置 MCC、 
MNC 


- 配置 功率 参 效 


BTS Configuration | ez e 


GSM GPRS 


GSM GSM Advanced 


Set parameters values for section [gsm] to be written in ybts.conf file. 


Radio.Band 

Radio.CO 

Identity.MCC 

Identity.MNC 

Identity.LAC 

Identity.CI 

Identity.BSIC.BCC 
Identity.BSIC.NCC 
Identity.ShortName 
Radio.PowerManager.MaxAttenDB 


Radio.PowerManager.MinAttenDB 


DES "| 选择 频段 与 频 点 
#525 : 1807.8 MHz downii v P 与 现 网 相同 


460 运营 商 PLMN 
01 ; ”配置 和 sim 卡 一 样 的 


| 
| 
| 
| 


ChinaMobile 
收发 功率 -尽量 调 低 


Submit Reset 


其 他 配置 


。 网 络 配置 
- 关闭 防火 墙 
ー 添加 ip 转 发 


- 添加 iptables 
策略 


BTS Configuration | Meu Kec 


GPRS GPRS Advanced SGSN 


Tapping 


Set parameters values for section [ggsn] to be written in ybts.conf file. 


DNS 

Firewall.Enable 
IP.MaxPacketSize 
IP.ReuseTimeout 
IP.TossDuplicatePackets 
Logfile.Name 
MS.IP.Base 
MS.IP.MaxCount 
MS.IP.Route 

ShellScript 


TunName 


114.114.114.114 


—— Se A 


1520 
180 
? 


? 


client 获取 到 的 IP/ 段 
一 所 以 可 以 直接 访问 端口 


? 


? 


; ,虚拟 网 卡 ， 用 wireshark 


Submit Reset 


其 他 配置 


・ IMSIL 配 
- 配置 具有 哪些 IMSI 的 sim 卡 可 以 入 网 


BTS Configuration Call Logs Outgoing 
Country Code and SMSC Online Subscribers Rejected IMSIs Manage SIMs 


Note! Subscribers are accepted based on two criteria: regular expression that matches the IMSI or they be inserted individually 


Regular expression based on which subscriber IMSI are accepted for registration 


正则 匹配 IMSI, 请 设置 成 你 的 IMS| 或 者 任意 


Modify | | Set subscribers 


Note! To disable nipc mode and enable roaming mode see 


最 小 化 影响 


。 这 套 理论 已 经 实践 过 ， 具 有 攻击 场景 ， 谋 慎 测 试 
一 MCC/MNC/ 频 点 的 设置 会 影响 周边 设备 通讯 
。 推荐 做 法 (快速 附 看 ) : 
- 无 线 信号 屏 散 使 中 测试 
一 有 wifi/ 有 线 的 地 下 室 中 测试 ， 例 如 小 区 地 库 
- 重 局 下 设备 


万 事 具 备 ， 开 始 攻 击 


。 意义 : 拥有 了 控制 现 网 GPRS 流 量 的 能 力 
。 万 法 : 
一 开启 wireshark， 记 录 分 析 流 量 
— 使用 burpsuite 井 店 http/https 代 理 , 替 換 流量 
© 蔡 换 升级 服务 器 
・ 注入 浏览 器 漏洞 
一 直接 访问 ip 端口 
e Exp 


管理 工具 (ADB, telnet. ssh. fA &imL1) 


搭建 LTE 测 试 基 站 
・ 当 我 们 只 需要 获取 流量 做 分 析 ， 不 需要 现场 控制 


・ 人 简化 搭建 步 又 
。 快速 测试 《例如 快速 扫 摘 端口 ) 


・ LTE 采 用 双向 认证 ， 不 存在 假 基 站 
。 为 了 附 看 到 网 络 ， 我 们 还 需要 解决 认证 问题 


LTE 系 统 jJ TZ 


e UE, EPC, 
eNodeB (ENB) 

© MAE 

・ 开源 SDR LTE: 


- OAI (过 于 复杂 、 安 
装 困难 ) 


SDR 实 现 LTE 测 试 基站 


。 srsLTE ENB、 EPC 编 译 安装 
・ SDR 硬 件 选 择 : 
— USRP B200/B210/B200 mini 
一 Bladerf x40 xa4 
ー LimeSDR 


* 5 
一 可 读 与 空 日 LTE sim 测试 卡 CMS es) 
ー 读 卡 器 


Rog EN 


・ PLMN (MCC、MNC) 
・ apn 


・ Mira (注意 配 資 丸 役 首 文 持 的 , 例 如 Bind1、 
7) 


・ PHR. KH 
・ 写 本 
— IMSI Ki op/opc 


如 何 与 卡 


。 根据 运营 两 填 入 IMSI 


。 填 入 usr.csv 中 的 KI 
OP/OPC, 替 換 IMSI 


・ 选择 正确 的 算 ; 


Mi or xor 


・ 现 企 ， 可 以 用 手机 主动 
搜索 并 且 加 入 网 络 


ight GreenCard Co 


i801 FC38031E0; 
「 Inc (DEC20) 


KI: 

PLMN; 

EHPLMN. 

FPLMN: 
HPLMN: |50 GID1 


^ Compl 


PIN1 


^ Milenage 


KI 


OP/OPC 


测试 卡 参数 可 供 修改 
读 写 器 + 软件 


解决 手动 搜 网 、 漫 游 、apn 的 器 题 
。 |RSS RSM, BHIORARS ARASH 


— 配置 和 IMSI 前 5 位 一 致 的 PLMN， 且 真实 存在 (这 个 同 
时 会 解决 漫游 状态 问题 ) 


ー 写 卡 配置 HPLMN、EHPLMN、FPLMN 等 参 类 


”apn 不 匹配 ， 导 致 无 法 建立 IP 链 路 


。 配置 为 PLMN 对 应 的 apn， 例 如 中 国联 通 46001， 其 通用 apn 为 
3gnet 


Run! 
e Start EPC 


。 Start ENB 


Uplink NAS: Received Authentication Response 


Authentication Response INSI 001010123456789 
Authentication Response RES BSxb7e69657419a208e croc 
UE Authentication Accepted に AS 


Downlink NAS: Sending NAS Security Mode Command 

DL NAS: Sent Downlink NAS Message 

Uplink NAS: Received Security Mode Complete 

Security Mode Command Complete IMSI. 1010173456700 
Sending Create Session Request A2. 

Creating Session Response Ij 


Creating Session Response MM Channel Response 


Received Create Session Respons M 
- Magnitude 
Create Session Response SP GH ao 9 


Create Session Response SP GW 
Sent Intial Context Setup Reque 
Initial Context S1-U TEID Ox 
E-RAB Context Setup. E-RAB id 5 
E-RAB Context GND TEID @x466 
Uplink NAS: Received Attach Com 
Unpacked Attached Complete Mess 
Unpacked Activate Default EPS Bi 


Lo 


3( 


Loa m ペー 


= Index 
Loading FPGA image: /usr/lo« 


Operating over USS 3 
Detecting internal GPSDO Channel Response 
Initialize CODEC control - Argument 
Initialize Radio control 
Performing register loopback 
Performing register loopback 
Performing CODEC Loopback tei 
Performing CODEC loopback t« 
Asking for clock rate 39.7201 
Actually got clock rate 39.7 
Performing timer loopback t« 
Performing timer Loopback te 
Setting frequency: OL*2685.6 Mh 
Starting plot for worker 1d=6 
Setting Sampling frequency 11.5 


eNodgeB started 
Type <t> to view trace 


Quadrature 


Quadrature 


in-phase 


PUCCH - Equalized 
Symbols 


RACH tie5461, preambleel, offsete9, teap crnti»0x46 
eNB 


User 0x46 connected 


DX 


种 币 SIM 卡 的 物 联网 设备 


T- Tun) T 


€ 智能 た 线 ESAS 


电源 © Tit AE 


HOT OLD FOOD | Sons 
& COLD F ET 


tamam 


me 3. 
3311 


i An 1 amm 


【 
ES 


{"Name": “363412030 "Passwo rd": : '7805303461C5E33FC8 Ty 
pe": 200, "machSerialNo": "15183/00035289" F}. .{"RC": 

1, "Version": "00030000", "SN": 1074090116, "PL": 
{"EID" :"B0C2116A04126B9122919095E6BA24FD" , "BIND":0,"GID": 
["888B31A71E5B75376A97EBD8A9919429"] , "GMT" :"20170501184949080") , "CID": 
10212,"SID" :'"89D4229CEB9C4128A0DC45F20BE7399B" ) . . ("CID": 

80041, "Version":"00030000" "SN": 


10463 http:/^watch.okii.com GET ésmartwatchéwatchinitp5Sc2dc 7065... 


aca Je are nlii com nuam 


fen Sar ele ame ccm 


Request | Original response | Auto-moditied response | 


| Raw | Headers | Hex | 
Content-Length: 2162 


[^code^: “0000017, ^ 


desc^:^success^, data ^: (^guardSwitch :0, ^consOnceTime^ :1 ^dialPlateInfo^ 
^digit acaleph ], "schoolTime : {\ ^weekV^:31, \ "morningStertV" :3708:00:00^^ DN "morningEndN" :X711:30:00V^, \ afternoonStartV ^: 14:00:00 7, V7 
afternoonEndV^:^16:30:00X7] ^, “conTime~:2, ChomeTime^: ^18:00:0 classmode^: [( id :10882317, ^classId : ed3009a56a1albSdb6lafce535dc5O 
9a9^, ^watchId^ bSc2dcT065cc4Gbf£90e602af13e1589808955301^, “title 禁用 时 间 段 ”, ^classSwitch :0, “amTime~:~ {\startTime\~:\\~08:00:00\", \“e 
ndTimeV^:^11:30:00X^7) ^, ^amSwitch :1, "pmTime” :” {\"startTime\~:\~14:00:00\,~, \\~endTime\,”: \"16:30:00\\~} ^, "pmSwitch :1, “nmSwitch”™:0, "classWe 
€k^:31, type :0, ^createTime ^ : 1493888530000} ], ^autoRecordSportTime : 3600, “guards”: [{*rate~:300, “start”: 07:30:00^, “end”: ^08:40:00^, “schoo 
lWeek :31}, (rate :300, ^start^: 16:23:00^, ^end^: ^18:10:00^, ^schoolWeek^:31]]. ^contactMobiles :[(^contactId": “b58ea4d6ad324c96852cd6744c1 
bbc3b^, ^mobileId ^: 077e6fd1473812deb318759802ab6c29^, imAccountInfo : ('accountId : “OTTe6£d1473842deb318759802ab6c29~, ^imAccountId :66529 
961, ^singlePushDialogId^:183898509]]], ^curTotalSteps :0, guardSwitchWifi :0, (lastestSportLogTime : 1494604800, ^imHeartConf ^: ^ {\“minHeart\ 
^: 30, \"maxHeart\~: 240, \“curHeart\~: 240, \“heartStep\~: 
10} ”, ^passiveRecordSportTime : 300, "sportTimeSliceSize :300, ^respTime :(^startResponseTime : 360, ^endResponseTime :1350}, “anURL ~: {upL : ^h 
ttp: //uptx. qiniu. com:980^, “downSY~: “http: //bbksmartwatch. giniucdn. com:80^, ^downSL “http: //bbksmartwatch. qiniucdn. com:80^, "downGT ^: [“http 
://smartwatch. e com:80^], ^upT^: [^http: Mois giniu. com:80^, “http: //up. qiniu. com:80 ^], "downSI" :[“http: //bbksmar twatch. ainiucdn. com 
:80^], "downGY" “http: //smaxtwatch. qiniucdn. com:S0^, ^upY^: “http: //upyd. qiniu. com: 8888”, ^downGL ^: "http: //sma 


:Í[^dialPlateBuildTime : 1493909574, ^dialPlate ^: 


exStopTi = ・ ら OO TE da Switch“ 10, *consCounts^ :2, ^contacts :[(^ia^: Dd 44clbbc3b | 719999999999 ~ 
"type" :0,| salutation” j| status^:1, "hfars ^ :261644}], ^consTotalTime :30], ^pushError : {~code~:0, “identify : 151bea68cd2d106- laclda2cda 
16c377e^ ^imnull, ^serverGreyCode :null} 


PuST /gsmlock HTTP/1.1 
Host: fo.so 
Content-Type: text/plain 
Content-Length: 116 
Cache-Control: no-cache 


qliUAAQBPMUhCMTCXNDAZOTEXAYAA r5S1QtHf GB7GxD44V9bm102K5xSxAhz3Mg2z00Lem9qIXY6eo 
LEPTdYTRrEfQHT7EyG6TUPhBay44z5BeawX80YQHTTP/1.1 200 OK 

Date: Fri, 04 Aug 2017 22:11:53 GMT 

Content-Type: text/html; charset=utf-8 

Content-Length: 76 

Connection: keep-alive 

X-Powered-By: Express 

ETag: W/"4c-o*ijHq59dUwrBdxcvODqDQ" 


qlUAAQAvMUhCMTCXNDAzOTExAYAe-BOmKUwiw0gi rvY5Sax1sLQy45XaioAu38M6gJxkpyYnAQ-- 


def decrypt(self,txt): 
key = hashlib.md5(' 7! + self.devide, id) .hexdigest( ) .decode("HEX") 


key 


print key 
cryptor = AES.new(key, self.mode) 


plain text = cryptor.decrypt(txt) 
return plain text 


aes encrypt - AES ENCRYPT() 
aes encrypt.devide id = '1HB17150 — — 


print aes encrypt.decrypt('d31d1ef31dcebad585ae71bd5a3c0365d66b5d6de92b320b18bd32cc6d332313' . decode( 'hex')) 


/opt/local/bin/python /Users/gaoshupeng/PycharmProjects/work/ofo/aes_test. py 
7 vG~Wy 


IA NOOOOO000 


SRE IN BS FE ON SEA 


= 16; 
accept(dword 15230, & 


)5 


get cw & Bx64u 


snprint @x64u, 


( 


printf ( 
while ( 1 ) 
{ 
= fgetc(v5); 
putchar(v6); 
write(v3, &v6, 1u); 


1 
J 


f 
puts( 


Wm: LTE 基 下 辛 口 访问 攻击 
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・ AAS SSA ETT Uim Oe) it 
— 买 两 张 同类 型 的 4G 卡 ， 大 概率 会 分 配 到 一 个 内 网 
ー 如 果 是 私有 ANP， 肯 定 会 分 配 到 同一 内 网 
一 如 果实 在 条 件 限 制 ， 或 者 只 做 23、80 等 痛 口 访问 
。 扫 描 一 台 开 放 5555 等 端口 ， 从 对 方 进行 访问 (未 授权 攻击 ， 
不 推荐 ) 
。 在 可 控 的 私有 APN 内 网 中 ， 这 种 方法 OK 


視 弘 演示 : URBIS ET JT 


其 他 


・ 研究 基 常 漏 洞 
ー Fuzz 协 议 ， 调 试 基 市 
・ 研究 LTE 标准 漏洞 
一 Review, 添加 代码 
— 实际 测试 


Q&A 


